O que o Grande Vazamento de Dados Pessoais de 2021 nos diz sobre o Facebook, o GDPR e a privacidade

Views: 33
0 0
Read Time:5 Minute, 14 Second

Até agora, muitas pessoas já ouviram falar sobre o aparecimento de 533.000.000 registros do Facebook online, revelados pela primeira vez em um tweet de Alon Gal no fim de semana. Você pode descobrir se você é um dos azarados usando o excelente site gratuito, Have I Been Pwned, que agora adicionou os detalhes mais recentes da conta do Facebook ao seu banco de dados deprimente grande de vazamentos, que atualmente inclui 521 sites da Web e 11 bilhões de contas.

Para o vazamento mais recente do Facebook, os detalhes incluem número de telefone, ID do Facebook, nome completo, localização, localização passada, data de nascimento, endereço de e-mail (para alguns), data de criação da conta, status de relacionamento e biografia. Como gal ressalta, esta é uma informação central, e será usada para roubo de identidade, engenharia social, golpes e hackers. Muitos desses dados não podem ser alterados, o que significa que a perda deles é extremamente grave. E ainda assim, a resposta oficial do Facebook é a seguinte:

Acreditamos que os dados em questão foram raspados dos perfis das pessoas no Facebook por atores mal-intencionados usando nosso importador de contatos antes de setembro de 2019. Esse recurso foi projetado para ajudar as pessoas a encontrar facilmente seus amigos para se conectar em nossos serviços usando suas listas de contatos.

O Facebook está tentando fazer uma distinção entre alguém invadindo seu sistema e exfiltrando os dados pessoais de meio bilhão de contas, e alguém usando as próprias ferramentas do Facebook para exfiltrar dados de meio bilhão de contas. Essa discussão parece ser uma tentativa de alegar que não foi culpa da empresa, mas puramente do “ator malicioso”. Seja como for, o fato é que os dados foram acessados por causa de uma vulnerabilidade no design do sistema do Facebook. Além disso, no post, palavras como “desculpe” são notáveis por sua ausência. Não só o Facebook está tentando fugir da responsabilidade, como nem reconhece que deve desculpas a meio bilhão de pessoas cujos dados pessoais estão agora flutuando pela Internet.

Há outro aspecto importante na tentativa do Facebook de evitar quaisquer consequências graves do último vazamento, especificamente multas sob o GDPRda UE. O Facebook poderia potencialmente ser multado em até 4% de sua rotatividade global como punição por não proteger os dados pessoais dos cidadãos da UE. Devido à forma como o GDPR é aplicado, cabe à Comissão Irlandesa de Proteção de Dados (DPC) investigar e decidir se uma multa está em ordem. Como o site do DPC explica:

Conjuntos de dados anteriores foram publicados em 2019 e 2018 relacionados a uma raspagem em larga escala do site do Facebook que na época o Facebook informou que ocorreu entre junho de 2017 e abril de 2018, quando o Facebook encerrou uma vulnerabilidade em sua funcionalidade de pesquisa telefônica. Como a raspagem ocorreu antes do GDPR, o Facebook optou por não notificá-lo como uma violação de dados pessoais no âmbito do GDPR.

A notificação importa, porque sob o GDPR, o Facebook tem a obrigação de anunciar violações de dados pessoais. No entanto, o DPC observa que o último vazamento pode conter registros adicionais de um período posterior em que o GDPR estava em vigor. Se esse for o caso, o Facebook deveria ter notificado a perda, e poderia ser multado. O Facebook diz que não tem planos de fazê-lo. O DPC acrescentou: “O DPC tentou no fim de semana estabelecer todos os fatos e continua a fazê-lo. Não recebeu nenhuma comunicação proativa do Facebook.” Uma das razões para essa falta de ajuda pode ser que o Facebook está apostando no DPC não torto de tomar nenhuma ação séria contra a empresa. Como um post anterior neste blog explicou, é precisamente isso que aconteceu com muitas outras investigações do DPC, resultando indiscutivelmente em um enfraquecimento da eficácia do GDPR. Outra falha em agir prejudicaria ainda mais a posição do DPC irlandês como a principal agência de aplicação da UE. O fato de que detalhes pessoais de dezenas de funcionários da UE estão entre os mais recentes vazamentos pode ajudar a concentrar as mentes no DPC.

Um artigo na Wired explica que, por maior que seja, o Grande Vazamento de Dados Pessoais de 2021 não é nada de especial. É apenas o mais recente de uma linha de lapsos graves por parte do Facebook:

Uma fonte da confusão foi que o Facebook teve várias violações e exposições das quais esses dados poderiam ter se originado. Foram os 540 milhões de registros – incluindo IDs do Facebook, comentários, curtidas e dados de reação – expostos por terceiros e divulgados pela empresa de segurança UpGuard em abril de 2019? Ou foram os 419 milhões de registros de usuários do Facebook, incluindo centenas de milhões de números de telefone, nomes e IDs do Facebook, raspados da rede social por maus atores antes de uma mudança de política do Facebook em 2018, que foram expostos publicamente e relatados pelo TechCrunch em setembro de 2019?

O artigo da Wired aponta que o Facebook chegou a um acordo com a FTC em julho de 2019 sobre suas falhas de privacidade anteriores. Em troca de pagar uma multa de US$ 5 bilhões e concordar com outros termos, a empresa foi indenizada por todas as suas falhas antes de 12 de junho de 2019. Uma questão importante é se algum dos dados nas datas de vazamento mais recentes data de depois desse ponto de corte.

Sempre que os dados foram extraídos, o tamanho e a seriedade das explorações de dados que estão agora na natureza enfatizam uma série de pontos importantes. Primeiro, que criar enormes reservas de dados pessoais é inerentemente perigoso, já que sempre haverá vazamentos. Em segundo lugar, que o Facebook parece em grande parte indiferente aos problemas que seus usuários sofrem quando suas informações de conta são vazadas, e está mais interessado em desviar a culpa do que se desculpar. Idealmente, pessoas com contas no Facebook as fechariam, mas mudar para outras redes sociais é difícil. No mínimo, eles seriam aconselhados a dar detalhes falsos sempre que possível para que os dados-chave não possam ser usados contra eles, como certamente acontecerá agora.

FONTE: PRIVACY NEWS ONLINE

Previous post Grande vazamento de BGP afeta milhares de redes e sites globalmente
Next post Forças Armadas Participam do maior exercício de Defesa Cibernética do Mundo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *